Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administración de Empresas
Pereira
2018
2
Candidato MBA
Administración de Empresas
Pereira
2018
3
Tabla de contenido
Objetivos ....................................................................................................................................... 12
Justificación .................................................................................................................................. 13
Hacker .................................................................................................................................... 37
Ransomware. ......................................................................................................................... 39
Phishing ................................................................................................................................. 39
Antivirus. ............................................................................................................................... 50
4
Antispyware. .......................................................................................................................... 50
Antifraude .............................................................................................................................. 50
Antispam................................................................................................................................ 51
Anti-Dialer ............................................................................................................................. 51
Protección electrónica............................................................................................................ 54
Recolección de Información...................................................................................................... 59
Muestra .................................................................................................................................. 59
Conclusiones ................................................................................................................................. 73
Recomendaciones ......................................................................................................................... 74
Bibliografía ................................................................................................................................... 75
Apéndices ...................................................................................................................................... 81
Apéndice N.° 4. Lista de Chequeo Aplicada en la Empresa de Seguridad Privada N. ........... 110
6
Resumen
norma ISO/IEC 27001:2013, teniendo en cuenta que la información es uno de los activos más
importantes dentro de la organización y requiere ser protegida y controlada para evitar el mal uso
de esta, por esto se plantean dos objetivos específicos y uno general, con el fin de detectar los
Dentro del marco de antecedentes se plasman aportes relevantes que ayudan a soportar y
tema propuesto, se anexan los instrumentos aplicados a una empresa de seguridad privada como
Abstract
This project has as purpose to determine the level of information security in a private
security company from Pereira, according to the ISO/IEC 27001:2013, taking into account that
the information gather by this company is one of the most important assets they have and it must
be protected and control to avoid any misuse. Due to the importance of it, we propose two
specific objectives and a general one to detect the factors that lead to the creation,
Within the framework of records we evidence some relevant information that help us to
back up and develop the information, additionally, we add some terms that can help in the
contextualization of this research project. We attach the instruments use by the private security
company as evidence and include the final conclusions and general recommendations to
Key words: information security, ISO 27001, security systems, security in TI, ISO 27001
Introducción
información para todas las organizaciones y aún más para las empresas de seguridad privada,
donde la responsabilidad de vigilar, defender y proteger los bienes y posesiones de sus clientes es
mucho mayor; gracias a esto, suelen convertirse en el blanco de diversas amenazas, por este
empresas, de acuerdo con la norma ISO/IEC 27001:2013, analizando los factores que ayudaron a
impulsar la implementación del sistema y verificando las condiciones iniciales en las que se
encuentra, con el fin de aportar herramientas que serán de ayuda para suplir falencias
encontradas, beneficiando de este modo tanto a la organización como a sus usuarios; pues se
considera que como administradores de empresas es pertinente conocer los sistemas, métodos y
información necesaria para conseguir los aportes correctos, se explican conceptos y manejos que
daños ni riesgos” (Definición.de, 2018); esta se desagrega en varios tipos como son: la seguridad
información, Morales (2013, pág. 33) menciona que las empresas de seguridad privada tienen la
responsabilidad de vigilar, defender y proteger los bienes y posesiones de sus clientes. Entre sus
tareas más comunes, está la de manejar una gran cantidad de información (tanto física como
digital) que aporta datos relevantes de clientes y proveedores, información que se describe de
función, información personal e informes acerca de los procesos que se llevan a cabo dentro de
esta actividad. En este sentido, las organizaciones de seguridad privada presentan como principal
objetivo velar por el cuidado de la información de las empresas u hogares a los cuales prestan sus
servicios, ya que son estas las que tienen acceso tanto a sus instalaciones como a la información
restringida para el público en general, ya sea accediendo de forma personal o por medio de
cámaras de seguridad.
Sin embargo, se evidencian varias connotaciones que enmarcan el mal uso de un sistema
de la información, entre las cuales se observan: (1) no dar un uso correcto a la información, (2)
confianza de los clientes, ocasionando pérdidas monetarias y perjudicando a las personas que se
10
encuentren involucradas.
Tras lo descrito, las empresas de seguridad privada por su objeto de ser, suelen
De acuerdo con los datos recopilados en el estudio ESET Security Report 2017,
Colombia es el tercer territorio latinoamericano más afectado por actividad maliciosa, con un
implementada una política de seguridad, lo que indica que por lo menos 1 de cada 4 empresas no
han definido aún este tipo de controles para garantizar la seguridad de la información y solo el
(ESET, 2017).
Según estudios realizados por la Certicámara en el segundo semestre del 2016, Colombia
es considerada una de las naciones más atractivas para los delincuentes informáticos en América
Latina; muestra de ello es que el 25% de los ciberataques registrados en el 2015 se originaron en
esta parte del mundo (Dinero, 2016); razón por la cual, las empresas de seguridad privada deben
trabajar con personal idóneo y contar con sistemas eficientes para la seguridad de la información
(Semana, 2014).
interrogante:
Objetivos
Objetivo General
Objetivos Específicos
información en la empresa.
ISO/IEC 27001:2013.
13
Justificación
acuerdo con la norma ISO/IEC 27001:2013, con el fin de aportar a esta organización
herramientas que sean de ayuda para suplir las falencias que se encuentren, beneficiando de este
modo tanto a la organización, como a sus usuarios, ya que la evolución tecnológica hace que la
información sea más accesible y este más desprotegida, lo que lleva a pensar de qué manera o a
pueden filtrar datos confidenciales acerca de los procesos internos, información de los clientes,
consideración para todas las personas involucradas, además de generar controversias a nivel
Cuando los datos de los procesos empresariales caen en manos inescrupulosas, se pueden
generar pérdidas, debido a que otras empresas pueden implementar algunos de sus procesos o
competitiva y creando una competencia desleal. Por otro lado, los clientes perderán credibilidad
En las empresas del sector de la seguridad privada debe existir un mayor compromiso y
control en el manejo de la información, debido a que estas tienen acceso no solo la información
conociendo sus procesos y su información confidencial, lo que hace que sean más las personas
herramientas que existen para proteger la información, ya que este es uno de los mayores activos
de las organizaciones; además, con este conocimiento se podrá ser más estratega y escoger mejor
a las personas que tendrán acceso a la misma. Al tener protegida la información o los datos de
relevancia en las organizaciones, no solo se tendrá un mayor control acerca de todos los procesos
y de todo lo que sucede dentro de esta, sino que será un aspecto que aportará un mayor grado de
Marco Referencial
Marco Teórico
información circula en los sistemas físicos, biológicos, sociales y técnicos, en donde la física del
siglo pasado ha reconocido un gran número de fenómenos sin enlace aparente (mecánicos,
térmicos, eléctricos y químicos), las diferentes formas de una misma entidad, la energía y el
progreso que esta visión unitaria ha permitido realizar a las ciencias y técnicas de una forma
beneficio comparable (Cuevas Agustín, 1975, pág. 89). Con la aparición del radar surgieron
varios problemas; en esencia consistían en que no se trataba con una sola señal, sino con un
conjunto de posibles señales (trayectorias de avión), más ruidos impredecibles, donde se busca
seleccionar la señal de información eliminando los ruidos; debido a este problema nace la que
sería la solución, por Warren Wiener, que en épocas de guerra produjo una abundante
denominaba “el peligro amarillo”, pero que a su vez resolvía el difícil problema. Durante y
después de la guerra surge otro matemático llamado Claude Shannon quien se interesó por el
problema de la comunicación y comenzó por estudiar todos los sistemas que habían, buscando
un método básico de comparar sus métodos. En el mismo año (1948) en que Wiener publicó su
sido conocido con asuntos tales como mensajes codificados elegidos de un conjunto conocido y
que pueden ser transmitidos con precisión y rapidez, en presencia del ruido, mientras que Wiener
conocido; sin embargo tanto Wiener como Shannon trataron el problema, no con una señal
simple, sino de forma que se pudiera hacer adecuadamente con cualquier señal seleccionada de
Por otra parte se observa el principio de fortificación, el cual hace referencia a “una de las
disciplinas donde más se dejó sentir la influencia de todas estas importantes innovaciones
posterior consolidación de una nueva manera de concebir y afrontar la guerra” (Sánchez Orense,
Pedro de Lucuze fue un Mariscal de Campo de los Reales Ejércitos y Director de la Real
Principios de Fortificación, el cual contiene las definiciones de los términos principales de las
obras de Plaza y de Campaña, con una idea de la conducta regularmente observada en el Ataque
y Defensa de las Fortalezas. Este diccionario se utilizó como una estrategia militar para
comunicarse y dejar mensajes de señalización que nadie más pudiera entender o descifrar,
Del mismo modo se hace referencia a la criptología, debido a que tiene un encanto
ligeramente tenebroso en su desarrollo histórico de acuerdo con lo investigado por José María
Molina Mateos, donde tiene la facilidad de combinar aspectos como el juego de la inteligencia,
mensajes. Pero es, ante todo, una disciplina científica de gran actualidad (Molina Mateos, 2000,
cifrada, etc.” (Molina Mateos, 2000, pág. 10). “No obstante, la norma ISO 7492-2 define a la
criptografía como la disciplina que estudia los principios, métodos y medios de transformar los
datos, con objeto de ocultar la información contenida en los mismos, detectar su modificación no
autorizada y/o prevenir su uso no permitido” (Molina Mateos, 2000, pág. 15).
Para Andrea Sgarro, la criptografía es la disciplina encargada del estudio de los códigos
secretos, para diseñar cifrarios que soporten los ataques del criptoanálisis, mientras que para José
Pastor, esta es una ciencia que estudia las propiedades tanto de comunicaciones electrónicas
Kerckhoffs, que por medio de sus principios explica cómo un sistema de tipo estratégico debe
descubre el tipo de cifrado utilizado, pero ignora la clave empleada para descifrarlo, el secreto
del mensaje queda garantizado, no obstante, los principios en los que se basa su teoría son 6. El
primero de estos principios indica que el sistema de cifrado debe ser impenetrable, si no en
teoría, al menos en la práctica; el segundo menciona que el hecho de que el sistema se vea
comprometido no debe dañar a los corresponsales, el tercero es que la clave debe ser fácil de
18
memorizar y fácil sustituir, el cuarto indica que los criptogramas deben ser idóneos para su
transmisión por telégrafo, el quinto menciona que el aparato y los documentos de cifrado deben
ser fáciles de transportar, siendo necesario que la operación de cifrado la pueda realizar una sola
persona; por último, el sexto principio dice que el sistema debe ser sencillo, no se debe basar en
criptología, y da paso a “La información sobre la información”, que viene a añadir al valor en sí
misma, el valor de los soportes, medios tecnológicos que la sustenta, y múltiples acciones de los
Además, está la esteganografía, que es definida por Álvaro Gómez Vieites como la
escritura oculta o escritura encubierta, que se encarga de estudiar “todas las posibles técnicas
utilizadas para insertar información sensible dentro de otro fichero, denominado “fichero
contenedor” (que podría ser un gráfico, un documento o un programa ejecutable), para tratar de
conseguir que pueda pasar inadvertida a terceros, y solo pueda ser recuperada por parte de un
(Gómez Vieites, 2014, pág. 53). “Las técnicas esteganográficas modernas utilizan aplicaciones
informáticas para ocultar la información. Para ello, se utiliza un fichero contenedor como soporte
para camuflar una serie de bits con la información sensible que se desea ocultar” (Gómez
utilizando textos en lenguaje natural como tapadera. Esta utiliza principios de la esteganografía e
19
Con la presente investigación se busca dar a conocer cada uno de los numerales de la
Norma Técnica Colombiana ISO/IEC 27001:2013, con el fin de analizar el nivel de seguridad de
la información personal en las empresas Seguridad Nacional Ltda. y Estatal de Seguridad Ltda.,
instrumento que se puede aplicar mediante una decisión estratégica a todas las organizaciones de
cualquier sector o tamaño, “esta norma especifica los requisitos para establecer implementar,
dentro del contexto de la organización” que permite que una empresa sea certificada.
Consta de 10 capítulos de los cuales 3 son generalidades y los demás son lineamientos
requisitos necesarios para lograr una mejora continua del sistema de seguridad de la información
información que se maneje dentro del documento debe de ser previamente citada y referenciada.
internas y externas pertinentes para el propósito y que de alguna manera afecte la capacidad de
las partes interesadas y sus requisitos legales y reglamentarios para el sistema de gestión de
seguridad de la información.
estos deben ser compatibles con los de la dirección estratégica de cada organización, para
deben asegurar mediante la óptima implementación del S.G.S.I los resultados previstos desde el
inicio.
para que puedan contribuir positivamente con el sistema, alcanzando una mejora continua donde
se presente el apoyo a los roles pertinentes de la dirección, para demostrar el liderazgo aplicado a
información adecuada con el propósito de cada una, donde se incluyan los objetivos de S.I o
compromiso por cumplir los requisitos relacionados con la seguridad en la información y por
interesadas.
Donde se logre asegurar que el S.G.S.I este conforme a los requisitos de la norma para
determinar los riesgos y oportunidades que se necesitan tratar; para asegurar que el sistema
alcance los resultados previstos, para reducir o prevenir efectos indeseados y alcanzar la mejora
continua.
Se deben planificar las acciones que traten dichos riesgos y oportunidades, para
22
organización.
proceso que logre la valoración del riesgo de la S.I que mantenga y establezca criterios de
de la seguridad de la información.
También identificar las consecuencias potenciales que son el resultado de los riesgos
encontrados, realizar una valoración donde se plantee la posibilidad de que ocurran y en qué
Comparar los resultados del análisis frente a criterios de riesgos planteados dentro de la
aplicación y definición del proceso de tratamientos de riesgos de la S.I, para seleccionar las
ocupaciones más apropiadas, teniendo en cuenta los resultados de valoración; determinando los
controles que sean necesarios para implementar las opciones escogidas para el tratamiento del
riesgo.
Compararlos con los controles de la norma y los anexos dentro de la misma para que no
se vaya a omitir ninguno; aplicar cada uno si es necesario y justificar su inclusión ya sea para su
implementación o no.
Formular el plan para el tratamiento del riesgo y obtener por parte de los dueños del
23
los objetivos de S.I en las funciones y niveles pertinentes y estos deben ser coherentes con la
política de seguridad de la información, ser medibles (si es posible) teniendo en cuenta los
requisitos aplicables y los resultados de la valoración para el tratamiento de los riesgos; ser
qué se va a hacer, los recursos requeridos, quién tendrá la responsabilidad, cuándo finalizará y
7.2 Competencia: determinar y asegurar que las personas que realizan tareas que afecten
7.3 Toma de conciencia: las personas que trabajan bajo el control de la organización
eficacia del SGSI, los beneficios de la mejora del desempeño de la seguridad de la información y
relacionadas con el SGSI, como qué, cuándo, quién, a quién y cómo se debe comunicar.
24
norma y la que la organización considere necesaria para la eficacia del mismo, además del
documentada requerida por el SGSI y por esta norma esté disponible y adecuada para su uso,
donde y cuando se necesite; además, se debe proteger de forma adecuada. También se deben
procesos para cumplir los requisitos, acciones que se indican dentro de la norma y establecer
planes para lograr los objetivos. La información debe estar documentada para tener la confianza
en que los procesos se han realizado según lo planificado y tener el control sobre estos. Se deben
controlar las consecuencias de los cambios no previstos y tomar acciones para mitigar sus efectos
documentada.
9.2 Auditoría interna: la organización llevará a cabo auditorías internas para proporcionar
continua, siendo consideradas las revisiones previas por la dirección, cambios en cuestiones
deben tomar acciones para controlar y corregir, haciendo frente a la consecuencias. Se deben
evaluar y determinar las acciones para eliminar las causas de la no conformidad con la idea de
26
que no vuelva a ocurrir, implementando y desarrollando cualquier acción necesaria que esté
Marco de Antecedentes
Para el caso del presente apartado se muestra la revisión de literatura que describen en
propósito de tener una visión más holística de los casos evidenciados sobre el tema tratado en el
hasta junio de 2017, realizada por (Beek, y otros, 2017) por medio de encuestas, en el cual se
mediante el malware Mirai y el país que alberga más servidores de control de redes de bots es
Estados Unidos.
aplicación de cuestionarios que permitieron identificar cuáles son las áreas que requieren mayor
organización.
electrónico basado en la ISO 27001 para pequeñas y medianas empresas en la ciudad de Quito,
mediante el cual pudo observar el deficiente interés que tienen las gerencias de las empresas
privadas respecto al manejo de políticas que ayuden a mantener un adecuado SGSI, además que
en Ecuador no existe una cultura organizacional para prevenir incidentes que afecten a la
seguridad de la información.
Por su parte, (Panda Security, 2017) realizó el Informe Trimestral Pandalabs T2 2017
28
mediante unos test, con los que detectó que en los equipos domésticos y de pequeñas empresas
está el mayor número de ataques realizados por medio de malwares desconocidos, mientras que
en las medianas y grandes empresas es de menos de la mitad. Lo anterior se debe a que son más
vulnerables y no invierten tanto en softwares para su protección. Además, se encontró que el país
más atacado a nivel mundial es El Salvador con un 10,85% y Colombia ocupa el séptimo lugar
con un 8,29% de ataques. Es necesario extremar las medidas de seguridad utilizadas, ya que cada
vez son más avanzados los malwares que se utilizan y tienen un mayor alcance. Se recomienda
utilizar el sofware de seguridad más adecuado de acuerdo con la amenaza a la cual se esté
enfrentado; además, es de vital importancia recopilar toda la información que se pueda del
malware para analizarla y poder elevar el nivel de protección y tener listos diversos planes de
contingencia.
De igual forma, (Solarte Solarte, Enríquez Rosero, & Benavides, 2015) realizaron una
investigación con el fin de desarrollar habilidades en los ingenieros de sistemas, que les permitan
propuesto en la norma ISO/IEC 27002. Lo anterior lo realizaron por medio de las técnicas de la
usuarios de los sistemas. Posteriormente aplicaron una lista de chequeo basada en la norma, para
con los resultados de la auditoria; además, se deben formalizar los procesos y procedimientos
29
procesos por lo cual se deben definir los procesos y procedimientos faltantes; también es
organizaciones de acuerdo a sus necesidades. De todo esto se observó que no existe una cultura
que no existe un compromiso real de las directivas, que los empleados no son conscientes de los
personal del área informática no está capacitado para asumir esta responsabilidad.
En línea de lo anterior, (Ware, 2018) llevó a cabo una investigación con la cual buscaba
obtener más información sobre el estado de las amenazas internas y las soluciones disponibles
para predecirlas y prevenirlas. Esta investigación se llevó a cabo por medio de encuestas
aplicadas a compañías de todos los tamaños y sectores, encuestando desde gerentes del área de
TI hasta técnicos. A raíz de los problemas encontrados por medio de las encuestas, se
concientizó a las empresas acerca de los riesgos a los cuales están expuestos y se desarrolló el
programa Constellation que permite tener una postura más dinámica y predictiva para tomar
decisiones más rápidas y acelerar la remediación para una protección más efectiva de sistemas,
datos, instalaciones y personas críticas. Además, se logró detectar que los datos de los clientes
fueron los más vulnerables a ataques internos (63%), seguidos por los datos financieros (55%) y
la propiedad intelectual (54%); también se identificó que los usuarios privilegiados representan
30
la mayor amenaza interna para las organizaciones, seguido por los contratistas y consultores, y
los empleados regulares; el 74% de las organizaciones se sienten vulnerables a las amenazas
internas, sin embargo, menos de la mitad tienen los controles adecuados en el lugar para evitar
un ataque interno.
Seguido de lo anterior, (Pallas & Corti, 2016) buscó dar los lineamientos metodológicos
evolución de un SGSI según la norma ISO 27.001, para una empresa perteneciente a un grupo
empresarial, la cual además está subordinada con respecto a una empresa principal del grupo,
además de ilustrar con un Caso de Estudio, los principales aspectos de aplicación de la misma.
observación en campo, entrevistas y test. Gracias a esta investigación, presentó una metodología
adecuada a un grupo empresarial, que busca integrar lo mejor de cada uno de los enfoques
términos de propiedades y algoritmia de grafos, y se define con una visión propia del tema, un
negocio, datos estadísticos, y la seguridad requerida para este sector de la industria. De dicha
investigación se pudo concluir que en cada etapa del ciclo PHVA del SGSI, cada una de las
empresas del grupo debería tener la mayor información posible a los efectos de aplicar criterios y
riesgos, y permitir escalar riesgos locales percibidos así como heredar los riesgos percibidos y
priorizados desde los estratos superiores, buscando alinear los planes de gestión de seguridad al
condicionantes.
2015), quien postula que al establecer políticas de seguridad informática en los servicios de
seguridad privada, se logra obtener mayor confidencialidad con sus clientes y por lo tanto se
puede prestar un servicio de mayor calidad, para esto busca fomentar una conciencia de
prevención en el aspecto informático de manera estructurada con los lineamientos que aporta la
norma ISO 27001. Utilizando fuentes secundarias en la investigación, se concluye que las
seguridad de la misma.
Así mismo, (Aguirre Tobar & Zambrano Ordóñez, 2015) presenta un diagnóstico del área
análisis del sistema de información que soporta la actividad financiera (software PCT) y el
manejo y control que se le está dando a la información, con la idea de minimizar el impacto y la
probabilidad de las amenazas y riesgos potenciales a los que se ve expuesta el área mediante el
análisis en el enfoque definido por el estándar COBIT (Control Objectives for Information and
32
related Technology), debido a que el tema hace necesario establecer las políticas que garanticen
En línea de lo anterior, (Ascanio Arévalo, Trillos Bayona, & Bautista Rico, 2015)
entenderlos puede contribuir a definir nuevas metas y coordinar acciones para crear un escenario
Del mismo modo, (Perafán Ruiz & Caicedo Cuchimba, 2014) realizan un análisis de
riesgos que permite generar controles para minimizar la probabilidad de ocurrencia e impacto de
identificar que La IUCMC actualmente presenta un nivel de riesgo informático considerable, que
con el apoyo de las directivas (alta gerencia) y de todo el personal es posible contrarrestar.
Según (Garzón Garzón, 2017), los controles aplicados para Spytech son las mejores
prácticas de fácil adaptación, que en conjunto con acciones adicionales implementadas, como el
monitoreo, evaluación y mejora continua, minimiza el riesgo y evita que se materialicen las
amenazas; esto lo dedujo después de realizar entrevistas de preguntas abiertas, con el fin de dar
respuesta a la investigación y de sugerir los controles de acceso para minimizar los riesgos de
33
disponibilidad que define la norma ISO 27001:2013, lo cual permitió a Spytech controlar los
Por otro lado, (Bueno Bustos, 2016) busca diseñar un Sistema de Gestión de Seguridad
Turístico, Regional Bolívar, con la metodología Magerit, donde espera que la empresa
implemente los controles y medidas que permitan lograr un nivel aceptable de seguridad para
información de las empresas de Risaralda, donde se toma como referente la norma ISO 27000.
Gracias a este referente, se indican las acciones pertinentes que se presentan para que la alta
para evaluar el estudio es el aleatorio simple a través de encuestas a una pequeña muestra de la
Así mismo, (Rico Trejos & Saavedra Rivera, 2015) proponen diseñar un plan de
seguridad informática para la Alcaldía de Dosquebradas, logrando encontrar que una de las
renovación del cableado estructurado de la alcaldía, el cual se encuentra obsoleto y este riesgo
34
seguridad de la entidad a través de una serie de preguntas, logrando la identificación de las áreas
con riesgos de seguridad o vulnerabilidad y las medidas correspondiente para generar una
solución en cada una de estas. Como conclusión se identifica la falta de políticas de seguridad
informática en la entidad, las cuales son parte fundamental para implementar un proceso de
seguridad informática, gracias a esto se definió como punto de partida iniciar de cero con la
procesos.
Del mismo modo, (Benavides Sepúlveda & Blandón Jaramillo, 2017) proponen diseñar
se logran analizar los riesgos asociados a las características particulares de estas instituciones,
sus funciones y que todo sea acorde con los sistemas de información que se manejan a nivel
general; el enfoque cualitativo mediante encuestas en Microsoft Excel logra la búsqueda de las
buenas prácticas con base en los lineamientos dados por los organismos participantes (MINTIC,
MEN e ISO), tendientes a garantizar la seguridad de la información dentro del contexto escolar.
cifras; además, se identificó el grado de madurez del SGSI en cada una estas, logrando definir la
importancia que las instituciones educativas de nivel básico del sector público dan a los
35
mecanismos que permiten garantizar la idoneidad de las personas que son contratadas y enviadas
Seguido de lo anterior, (Aguirre Cardona & Aristizábal Betancourt, 2013) diseñan una
igual que los ataques cibernéticos en las organizaciones, ponen de manifiesto la necesidad de
adoptar medidas y controles que permitan proteger a la compañía ante las amenazas a los activos
procesos y subprocesos importantes de la empresa, con el fin de identificar los pasos a seguir que
De igual forma, (Espinosa Betancur, García Gallo, & Giraldo Restrepo, 2016) diseñaron
y desarrollaron un modelo aplicable del SGSI para los 3 procesos misionales de la Corporación
ambiental del territorio y gestión ambiental territorial), basados en las normas ISO/IEC
27001:2013 e ISO/IEC 27002:2013. Para esta investigación se utilizaron los enfoques cualitativo
anterior sirvió para que la CARDER tomara conciencia de la crítica situación respecto a la
seguridad de la información que llevaban y ayudó a que todas las partes que hacen parte de cada
informática para la empresa Apostar S.A.; se lograron establecer las prioridades que en materia
36
de seguridad informática requería la organización para así poderle dar viabilidad a estas,
información a causa de una de las vulnerabilidades detectadas, donde se hace entrega del diseño
de la Política de Seguridad Informática de Apostar S.A., con los resultados del análisis obtenidos
concluir que a nivel nacional y/o regional muchas organizaciones no consideran necesario tener
procedimientos formales hace que no se tomen medidas definidas en momentos que así lo
requieran.
37
Marco Conceptual
para la voz inglesa hacker; es una “persona con grandes habilidades en el manejo de
ordenadores, que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos”
programación y recientemente para describir a una persona que intenta obtener acceso no
autorizado a los recursos de la red con intención maliciosa (Costas Santos, Seguridad
hacking con fines defensivos, (Benchimol, 2011, pág. 49) se les llama Ethical Hacker o hacker
ético. Se dedican a determinar lo que un intruso puede hacer sobre un sistema y la información,
velando por su protección. Son expertos en informática y sistemas, con certeros conocimientos
en lenguajes de alto y bajo nivel. Además, entienden sobre problemas relacionados con
seguridad en temáticas como la criptografía, los sistemas de control de acceso, las aplicaciones,
considerando un crimen el hacking de redes o sistemas. Los hackers que pongan en peligro la
vida de los demás, pueden someterse a cadena perpetua, de acuerdo con la ley norteamericana,
En la actualidad existen varios tipos de hackers (San Miguel, 2011), entre los que están:
38
Black hat hackers. También se les llama hackers de sombrero negro o simplemente
hackers. Son los chicos malos, debido a que se dedican a romper la seguridad de computadoras,
networks o a crear virus. Suelen buscar el camino de menor resistencia, ya sea por alguna
White hat hackers. Los hackers de sombrero blanco son los chicos buenos y éticos. Se
vulnerabilidades y a proteger los sistemas de los black hat hackers. Estos tienen los
conocimientos de los black hats pero los utilizan para hacer el bien (San Miguel, 2011).
Gray hat hackers. Los hackers de sombrero gris juegan a ser buenos y malos, es decir,
tienen una ética ambigua. Utilizan sus conocimientos de black hat hacker para penetrar en
sistemas y buscar vulnerabilidades, con el fin de ofrecer sus servicios para repararlos bajo
Crackers. Hacen parte de los black hats, ya que entran en sistemas vulnerables y hacen
daño, robando información y dejando algún virus o malware; además, trojan en el sistema y
crean puertas traseras para poder entrar nuevamente cuando les plazca. Algunos crackers diseñan
hardware original conocidos como cracks, key generators, etc., por medio de ingeniería inversa
Script kiddies. Así se le conoce a los “hackers que utilizan programas escritos de otros
para penetrar algún sistema, red de computadora, página web, etc. ya que tiene poco
conocimiento sobre lo que está pasando internamente en la programación” (San Miguel, 2011).
39
inalámbricas y la voz sobre IP (VoIP). Además, investiga los sistemas telefónicos usando la
Newbie. El novato es el que se tropieza con una página web sobre hacking y baja todas
las utilidades y programas a su PC, lee y ejecuta los programas para ver qué hacen, sin obtener
éxito. Es inofensivo y a veces se les confunde con un lammer (San Miguel, 2011).
Lammer. Se cree hacker pero no tiene los conocimientos necesarios. Descarga cientos de
libros y videos de diversos temas de hacking pero no ha leído ni visto ninguno de estos,
rescate (ransom en inglés) para poder acceder a su información. Normalmente cifra los ficheros
que más utiliza el usuario como documentos de texto, hojas de Excel e imágenes, entre otros
(Costas Santos, Seguridad informática, 2014, pág. 133). Este malware se propaga como un
gusano y otro de sus fines es el de inutilizar el sistema; el rescate que solicita, por lo general,
Phishing. El objetivo de esta modalidad de estafa es obtener los datos, claves, cuentas
bancarias, números de tarjeta de crédito, identidades, etc., de un usuario, es decir, extraerle todas
las referencias posibles para después usarlas con fines fraudulentos. Normalmente se realiza
40
duplicando las páginas webs de entidades bancarias, de forma que el visitante crea que se
encuentra en la web original. Cuando está realizada la copia, se envían mensajes falsos que
tarjeta de crédito. Estos mensajes y los sitios web parecen oficiales, consiguiendo engañar a
cuentas u otros datos personales. Estos delincuentes, usan su información para realizar compras,
solicitar una nueva tarjeta de crédito o robar su identidad (Bolaños, Simoneau, & Becerra, 2009,
pág. 20).
intento de hacer que los usuarios piquen en el anzuelo. Los phisher son quieres realizan esta
término phishing se mencionó por primera vez en enero de 1996 en el grupo de noticias de
del boletín de noticias hacker "2600 Magazine". El término phishing se adoptó por quienes
llamada telefónica, una web simulada, una ventana emergente, hasta la recepción de un correo
electrónico. Las formas de uso más comunes son el SMS solicitando datos personales,
encuestas, confirmación de su identidad o cualquier excusa, que propicie la entrega de los datos,
incluso, el mensaje puede contener formularios, enlaces falsos, textos originales, imágenes
oficiales, etc., con el fin de que se visualice idéntica al sitio web original. También se usa la
41
llamada telefónica, suplantando a una entidad privada o pública para que la persona facilite datos
privados. La página web o ventana emergente es muy clásica y bastante usada, y los sitios web
falsos que usan ganchos llamativos como ofertas irreales, para que el usuario facilite todos sus
Marco Legal
Ley Estatutaria 1581 de 2012 (Octubre 17) - Reglamentada parcialmente por el Decreto
Nacional 1377 de 2013. Por la cual se dictan disposiciones generales para la protección de datos
personales.
Decreto Número 1377 de 2013. Por el cual se reglamenta parcialmente la ley 1581 de
2012.
personal.
The Cyber Security Enhancement Act of 2002, dispone aplicar cadena perpetua a hackers
que imprudentemente pongan en peligro la vida de los demás. Los hackers maliciosos que
energía o cualquier otro servicio público y generen algún tipo de amenaza contra la vida podrían
Electrónico (LSSICE), con la intención de establecer las nuevas reglas del juego que indiquen
Norma ISO/IEC 27000. Ofrece una visión general de las normas de toda la serie 27001,
Norma ISO/IEC 27001. Es la norma principal y contiene los requisitos del sistema de
gestión se seguridad de la información. Es la norma utilizada por los auditores externos para
Norma ISO/IEC 27002. Guía de buenas prácticas en la que se describen los objetivos de
Norma ISO/IEC 27003. Se centra en los aspectos críticos necesarios para el diseño e
Norma ISO/IEC 27005. Proporciona las directrices para la gestión del riesgo en la
seguridad de la información.
Nacional.
determinar que no toda puede ser dada a conocer en la red pública de datos.
diciembre de 2003 dice lo siguiente: “Todas las personas tienen derecho a su intimidad personal
y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo,
tienen derecho a conocer, actualizar y rectificarlas informaciones que se hayan recogido sobre
que los procesos que se tramiten con soporte informático garantizarán la confidencialidad,
privacidad y seguridad de los datos de carácter personal que contengan en los términos que
establezca la ley.
Art. 25 del decreto 1747 de 2002. Vela por respetar las condiciones de confidencialidad y
Literal 11 del artículo 13 del decreto 1742 de 2002. Busca garantizar la confidencialidad
Marco Contextual
Pereira una ciudad de Colombia, capital del departamento de Risaralda, ubicada en el Eje
país, en el valle del río Otún en la Cordillera Central de los Andes colombianos. Esta ciudad es
municipios en Colombia están divididos en comunas. Pereira está dividida en 19 comunas, cada
una de estas con múltiples barrios. El área municipal es de 702 km²; limita al norte con los
departamento del Tolima, al sur con los departamentos de Quindío y Valle del Cauca, al oeste
con el municipio de Balboa y el departamento del Valle del Cauca. Pereira es el primer centro
urbano del eje cafetero y el segundo de la región paisa (Alcaldía de Pereira, 2016).
La economía de Pereira depende en gran medida del café; sin embargo, cuenta con una
estructura diversificada, siendo el sector primario el representante del 5,7% del producto interno,
el sector secundario muestra un peso relativo del 26,2% en el municipio y el sector terciario es el
más representativo con una magnitud de 68,1% (Concejo Municipal de Pereira, 2017).
información en las organizaciones, que fueron ocasionadas por la aparición de virus y programas
que lograron hackear a grandes compañías, gracias a que no previnieron los posibles ataques que
podrían sufrir a futuro debido a las falencias que manejan en cuanto a la seguridad en la
información. Con el paso de los años las organizaciones encargadas de robar la información a
grandes o pequeñas empresas han evolucionado a tal punto, que cuando una empresa
más fácil acceder a esta, haciendo necesario que cada empresa implemente un sistema de gestión
parámetros estipulados en la norma ISO/IEC 27001, que se pueden adaptar a cada organización,
permitiendo proteger sus datos. Cabe destacar que cada empresa debe estar un paso adelante de
las organizaciones inescrupulosas que roban la información para perjudicar a estas mismas. Es
casi que obligatorio tener un plan B, que contenga las soluciones a ataques futuros, además de ir
actualizando su SGSI para prevenir posibles ataques a la información confidencial de cada una
seguridad privada, las cuales requieren tener implementado un sistema de gestión de la seguridad
tanto de su información como la de las demás organizaciones a las cuales les ofrecen sus
Reaccionar Limitada.
La empresa de seguridad privada N es una empresa dedicada a buscar soluciones con alta
a los socios; cuenta con un equipo de profesionales altamente competentes y capacitados, lo que
ayuda a que tengan el personal más idóneo para prestar el servicio de seguridad privada,
supervisión y control permanente; cuenta con el área de servicio al cliente, la cual está en
contacto permanente con cada usuario, para poder atender las necesidades y requerimientos que
se generan durante la prestación del servicio, también son los encargados de mantener
informados acerca de los riesgos y posibles amenazas que se generan en el sector. Esta empresa
actualmente se encuentra certificada en las normas ISO 9001:2015 y BASC; además, tiene como
proyecto a corto plazo, certificarse en la norma OHSAS 18001 y después en la norma ISO
Marco Tecnológico
sistemas para la protección de la información (Costas Santos, Seguridad informática, 2014), son:
y eliminar códigos maliciosos. Aunque se sigue utilizando la palabra antivirus, estos programas
han evolucionado y son capaces de detectar y eliminar, no solo virus, sino también otros tipos de
códigos maliciosos como gusanos, troyanos y espías (Costas Santos, Seguridad informática,
2014, pág. 154) son aplicaciones que se dedican a recopilar información del sistema en el que se
encuentran instaladas para luego enviarla a través de Internet, generalmente a alguna empresa de
publicidad. Todas estas acciones se hacen de forma oculta al usuario o bien se enmascaran tras
confusas autorizaciones al instalar terceros programas, por lo que rara vez el usuario es
consciente de ello.
Los tipos de antispyware que existen son antiespías de escritorio y antiespías en línea.
visitamos, en algunos casos, nos informan de forma detallada qué enlaces de esas páginas se
consideran peligrosos y cuál es el motivo. Existe Spoofstick, que es un software que se instala
como una extensión del navegador que sirve para comprobar que las páginas que visitamos son
auténticas y que no son potencialmente peligrosas, y está Netcraft que protege de los ataques de
sitios que son visitados ayudando a defender a la comunidad internauta de fraudes (Costas
solicitado; en realidad, un alto porcentaje del correo electrónico que se mueve hoy en día es
spam. Principalmente se utiliza como complemento a otras técnicas que tienen como un objeto y
fin engañar al usuario logrando obtener un beneficio económico. Además, el simple hecho del
envío y la recepción de este correo provoca un tráfico de datos que ayudan a saturar el
internet; es por ello que se presentarán unas herramientas para tratar de mitigar el efecto spam,
son programas que filtran los correos electrónicos y tratan de eliminarlos, algunas de estas
herramientas son Time Machine. Esta herramienta se instala en forma de plug-in de navegador y
funciona con el correo web de Gmail, Windows Live Hotmail y Yahoo, además de con el
reconocer algunas compañías y entre ellas una cuantas de servicios de Internet, utilizadas muy
frecuentemente como ganchos para intentos de robo de identidad mediante técnicas de phishing;
otra herramienta es Spamihilator, donde tiene a disposición de todos los usuarios un programa
antispam, que se encarga de filtrar los correos electrónicos no deseados (spam) que son enviados
que dan acceso a algún tipo de servicio, en un principio, este tipo de aplicaciones eran
distribuidos por proveedores de acceso a Internet para facilitar a sus clientes el proceso de
Este tipo de herramienta permite controlar a qué números de teléfono está conectado un
módem, con el único fin de controlar que no sea utilizado ningún número que no esté en la lista
52
de contactos o números permitidos, ya que hay algunos programas que cambiaban estos números
por otros de tarificación especial, y las llamadas salían mucho más caras. Este tipo de fraude ha
quedado reducido a conexiones de 56 kbps, con módem de marcación sobre línea telefónica,
Análisis de ficheros en línea. Son herramientas que ofrecen un servicio gratuito para
realizar análisis de ficheros sospechosos mediante el uso de múltiples motores antivirus que
busca complementar el mismo, de esta manera se puede comprobar si dichos ficheros contienen
o no algún tipo de código malicioso; la herramienta Dr.Web On-line para el análisis en línea de
direcciones de Internet busca códigos maliciosos que pueden estar inyectado en las páginas
HTML. En el caso de ser así, esta herramienta avisa que el acceso a este sitio podría ser
peligroso, ya que podría dañar la configuración del sistema (Costas Santos, Seguridad
Análisis de URL. Son herramientas para el análisis de direcciones de páginas web, que
sirven para determinar si el acceso a dicha URL puede afectar o no a la seguridad de nuestro
sistema. Existen varios tipos de analizadores en función de cómo se accede al servicio: los que
realizan un análisis en línea, los que se descargan como una extensión o plugin de la barra del
navegador y los que se instalan como una herramienta de escritorio. Estos útiles son capaces de
categorizar las páginas que se desea visitar, de modo que estando atentos a esa valoración, se
puede evitar que el sistema sea infectado por acceder a páginas peligrosas. Estas herramientas
pueden detectar, y a veces hasta bloquear, el acceso a páginas que contengan código malicioso,
vulnerabilidad sobre nuestro navegador o sistema. No se asegura que la información que puedan
ofrecer sea del todo fiable al 100%, bien porque la página web solicitada no haya sido todavía
analizada, o porque puedan existir opiniones distantes de diferentes internautas sobre un mismo
sitio web. En cualquier caso, consideramos que nos aportan una información bastante útil, ya que
nos alertan o avisan sobre las posibles amenazas a las que exponemos nuestro sistema al acceder
Hoy se cuenta con una herramienta tan fundamental como son las URL que permiten
saber qué tan segura es la dirección web a la que se ingresara desde determinado computador,
para identificar las posibles amenazas que podrá sufrir la información almacenada en el mismo
biometría. Es decir, un sistema que fundamenta sus decisiones de reconocimiento mediante una
características. Las técnicas biométricas más conocidas son nueve y están basadas en los
siguientes indicadores biométricos: rostro, termograma del rostro, huellas dactilares, geometría
de la mano, venas de las manos, iris, patrones de la retina, voz y firma (Bancada Cruceña, 2009).
Algunos beneficios que traen estas herramientas (Costas Santos, Seguridad informática,
2014), son eliminar la necesidad de poseer una tarjeta para acceder y de una contraseña difícil de
recordar, y al ser utilizando un dispositivo biométrico los costos de administración son más
pequeños, ya que se realiza el mantenimiento del lector y una persona se encarga de mantener la
54
base de datos actualizada. Sumado a esto, las características biométricas de una persona son
intransferibles a otra.
Protección electrónica. Se llama así (Costas Santos, Seguridad informática, 2014, pág.
señalización, que son los encargados de hacer saber al personal de una situación de emergencia.
Cuando uno de los elementos, sensores detectan una situación de riesgo, éstos transmiten
evadir los intentos de sabotaje. Estas barreras están compuestas por un transmisor y un receptor
alarma, y luego vuelve al estado de alerta. Estas barreras son inmunes a fenómenos aleatorios
como calefacción, luz ambiental, vibraciones, movimientos de masas de aire, etc. Las invisibles
barreras fotoeléctricas pueden llegar a cubrir áreas de hasta 150 metros de longitud (distancias
exteriores). Pueden reflejar sus rayos por medio de espejos infrarrojos con el fin de cubrir con
una misma barrera diferentes sectores. Las micro-ondas son ondas de radio de frecuencia muy
elevada. Esto permite que el sensor opere con señales de muy bajo nivel sin ser afectado por
otras emisiones de radio, ya que están muy alejadas en frecuencia Debido a que estos detectores
no utilizan aire como medio de propagación, poseen la ventaja de no ser afectados por
55
vidrio, lana de vidrio, plástico, tabiques de madera, revoques sobre madera, mampostería y
hormigón.
Detector ultrasónico. Este equipo utiliza ultrasonidos para crear un campo de ondas. De
esta manera, cualquier movimiento que realice un cuerpo dentro del espacio protegido, generará
una perturbación en dicho campo que accionará la alarma. Este sistema posee un circuito
refinado que elimina las falsas alarmas. La cobertura de este sistema puede llegar a un máximo
de 40 metros cuadrados.
ningún tipo, solo van conectados a la central de control de alarmas para mandar la información
de control.
encuentran las sirenas, campanas, timbres, etc. Algunos dispositivos luminosos son los faros
rotativos, las balizas, las luces intermitentes, etc. Estos deben estar colocados de modo que sean
efectivamente oídos o vistos por aquellos a quienes están dirigidos. Los elementos de
sonorización deben estar bien identificados para poder determinar rápidamente si el estado de
alarma es de robo, intrusión, asalto o aviso de incendio. Se pueden usar transmisores de radio a
corto alcance para las instalaciones de alarmas locales. Los sensores se conectan a un transmisor
que envía la señal de radio a un receptor conectado a la central de control de alarmas encargada
según lo captado por las cámaras estratégicamente colocadas. Los monitores de estos circuitos
56
deben estar ubicados en un sector de alta seguridad. Las cámaras pueden estar a la vista (para ser
utilizada como medida disuasiva) u ocultas (para evitar que el intruso sepa que está siendo
captado por el personal de seguridad). Todos los elementos anteriormente descritos poseen un
produce la rotura de alguno de sus componentes, se enviará una señal a la central de alarma para
Diseño Metodológico
Tipo de Investigación
detallada y concreta cada uno de los procesos y procedimientos que se llevan a cabo en la
investigación, respecto a la norma ISO 27001:2013, para que posteriormente, pueda suplir las
falencias que tiene y certificarse en dicha norma (Hernández Sampieri, Collado, & Baptista
Lucio, 2014).
solución a los interrogantes planteados, ya que se busca establecer qué está ocurriendo, cómo se
está actuando, cuándo se realiza y dónde está sucediendo. Con esta investigación se generarán
datos de primera mano con el fin de realizar un análisis general y presentar un panorama del
problema, ayudando de esta manera a una empresa de seguridad privada, ubicada en la ciudad de
Pereira, a implementar estrategias que ayuden a mejorar y reforzar sus sistemas de seguridad de
cerradas como instrumento y para el segundo objetivo se utiliza una lista de chequeo.
terciario, debido a que se realiza directamente a la empresa involucrada y no a los clientes finales
de esta.
59
Recolección de Información
Muestra. Para llevar a cabo la presente investigación, se seleccionó una de las empresas
más representativas del sector de seguridad privada de la ciudad de Pereira, con el fin de dar
investigación, fue realizada por el ingeniero Jesús Aníbal Baena Arcila, quien consideró que no
era necesario realizarles modificaciones, pero indicó que si se hubiera tenido un mayor
conocimiento o una mejor investigación previa a cerca del contexto de la empresa objeto de
empresa Telemark Spain S.L., participó en la certificación de la ISO 9001:2015 para la empresa
divulgación.
60
aplicación de un cuestionario de preguntas cerradas para dar respuesta al primer objetivo y una
lista de chequeo para dar respuesta al segundo objetivo, los cuales se encuentran adjuntos en
apéndices. Los dos instrumentos son aplicados en la empresa de seguridad privada N los días 6 y
7 de abril del 2018, por medio de una entrevista dirigida y se utiliza la observación directa para
Análisis de la Información
privada N, se logra identificar que esta es una empresa muy bien estructurada y fuerte en todos
sus procesos de T.I., debido a que le dan una gran importancia a la seguridad de su información.
mientras que a nivel externo han recibido múltiples ataques, aunque ninguno de estos ha sido
efectivo. Todas las áreas de esta empresa manejan información sensible, pero la información que
ellos más procuran proteger son las bases de datos que contienen la información de sus clientes.
sus servidores de archivos y de las redes utilizadas, pues consideran que la forma que se utiliza
más frecuentemente para robar información, es mediante la captura de paquetes en las redes.
Ellos son conscientes de que la tecnología se vuelve cada vez más compleja y que los
nivel interno, se utilizan métodos como el monitoreo de la actividad de todos los usuarios,
permitiendo realizar seguimiento a todos los movimientos realizados dentro de las aplicaciones
mediante copias controladas, realizadas desde el área de gestión de calidad, se utilizan programas
terceros, se verifican los antecedentes de cada una de las personas que se encuentran en proceso
del sistema operativo subyacente y herramientas personalizadas, junto con las aplicaciones
amenazas externas se utilizan dos herramientas de defensa perimetral de seguridad: una versión
herramientas de protección que bloquean las amenazas de forma automática, pero no tienen
conocimiento del tiempo que les tomaría recuperarse de un ataque, debido a que hasta la fecha
ninguno ha sido efectivo, de igual forma, tampoco saben con exactitud el costo promedio que
tendría la remediación de una ataque, pero manifiestan que no sería nada difícil determinar el
tamaño del daño real dentro de empresa. Actualmente, la empresa no presenta barreras que
cambiar el servidor de correo, el cual se encuentra en buenas condiciones pero con su cambio
muy seguros de que sus sistemas de prevención son completamente efectivos, motivo por el cual,
cibernéticos ni procesos documentados para el momento en que se lleguen a ver afectados por
para saber cómo actuarían los usuarios frente a una amenaza o si tienen la suficiente consciencia
para no leer correos infectados que se puedan llegar a pasar el filtro automático que realizan los
sistemas de detección, ya que por las restricciones que tienen, no se conoce qué tan efectivas son
Nivel de
Ponderación
Objetivos de control y controles implementación Resultado
(%)
0-100%
A.5 POLÍTICAS DE LA SEGURIDAD DE
10,00% 80,00% 8,000%
LA INFORMACIÓN
A.5.1 Orientación de la dirección para la
10,00% 80,00% 8,000%
gestión de la seguridad de la información
A.5.1.1 Políticas para la seguridad de la
6,00% 80,00% 4,800%
información
A.5.1.2 Revisión de las políticas para la
4,00% 80,00% 3,200%
seguridad de la información
A.6 ORGANIZACIÓN DE LA
10,00% 100,00% 10,000%
SEGURIDAD DE LA INFORMACIÓN
A.6.1 Organización interna 10,00% 100,00% 10,000%
A.6.1.1 Roles y responsabilidades para la
3,00% 100,00% 3,000%
seguridad de la información
A.6.1.2 Separación de deberes 2,00% 100,00% 2,000%
A.6.1.3 Contacto con las autoridades 1,00% 100,00% 1,000%
A.6.1.4 Contacto con grupos de interés especial 2,00% 100,00% 2,000%
A.6.1.5 Seguridad de la información en la
2,00% 100,00% 2,000%
gestión de proyectos
A.6.2 Dispositivos móviles y teletrabajo 0,00% 100,00% 0,000%
A.6.2.1 Política para dispositivos móviles 0,00% 100,00% 0,000%
A.6.2.2 Teletrabajo 0,00% 100,00% 0,000%
A.7 SEGURIDAD DE LOS RECURSOS
10,00% 100,00% 10,000%
HUMANOS
A.7.1 Antes de asumir el empleo 4,00% 100,00% 4,000%
A.7.1.1 Selección 2,00% 100,00% 2,000%
A.7.1.2 Términos y condiciones del empleo 2,00% 100,00% 2,000%
A.7.2 Durante la ejecución del empleo 4,00% 100,00% 4,000%
64
encuentra actualmente, frente a la norma ISO/IEC 27001:2013, en todo lo relacionado con los
cómo llevan a cabo los procesos de implementación, revisión y control, que realizan por medio
evidenciar que no aplican los controles de políticas de dispositivos móviles y teletrabajo, ya que
no lo utilizan.
la revisión de cada uno de los ítems del numeral como antecedentes, visitas domiciliarias,
etiquetado previo con fecha, nombre de quién lo realizó y quién lo tiene a cargo, entre otros
datos relevantes.
estos, se implementa de forma que no se permiten medios removibles como lo son los
dispositivos USB, bloqueando los puertos correspondientes para evitar el robo de información.
información estrictamente necesaria, de acuerdo con los perfiles de cada cargo; además, cuando
Uno de los requisitos que especifica la norma es la criptografía como método para
ningún control, ya que únicamente hacen uso del antivirus; por lo tanto, se recomienda analizar
Esta empresa, aplica los controles necesarios para proteger la información en cuanto a
seguridad física y del entorno se refiere, contando con un archivo externo para conserva de forma
71
física todos los documentos, los cuales también se encuentran de forma digital. Para los equipos
desatendidos utilizan bloqueos automáticos tras 5 minutos de inactividad, con el fin de garantizar
mensualmente realizan copias de seguridad en dos equipos diferentes a nivel externo, con el fin
de protegerse contra la pérdida de datos, pero no existe un registro de eventos debido a que la
organización confía completamente en las medidas predictivas que aplica. En la parte de las
telecomunicaciones se aplican controles muy radicales, como el bloqueo total de correos que
provienen de dominios poco confiables, páginas webs que no son relacionadas con el trabajo,
sistemas de red o archivos que no correspondan al perfil del cargo del trabajador y panel de
configuración de los sistemas, ya que todo esto está habilitado únicamente para los usuarios
demás, se registran en un formato de control de cambios y todos los archivos están debidamente
En las relaciones con los proveedores, la organización cuenta con unas políticas muy
estrictas y todos los acuerdos y las condiciones son incluidas dentro del contrato de prestación de
servicios, con el fin de asegurar el cumplimiento de dichas condiciones y garantizar así el uso
apropiado de la información.
La gestión de los incidentes en dicha organización, presenta varias falencias, debido a que
los reportes de eventos se realizan de forma automática por medio de los programas de
además, se revisa únicamente el tipo de amenazas que se han presentado de forma informativa
pero no se toma ninguna acción respecto a estas, ya que lo consideran innecesario por el hecho
de no haberse visto afectados por ninguna de estas. De igual forma, la empresa de seguridad
privada N no cuenta con una continuidad de seguridad plenamente identificada, debido a que
nunca han tenido la necesidad de hacerlo, pues la organización no ha presentado ningún tipo de
políticas dentro de la política integral, de acuerdo con los parámetros establecidos por la norma
BASC, pero no se realiza de forma individual y especifica, ni se realiza de acuerdo con los
Conclusiones
De acuerdo con el objetivo que se había planteado de analizar los factores que impulsaron
constante evolución que presenta la tecnología, la cual demanda actualización constante de los
sistemas dentro de las organizaciones de este sector , para fortalecer internamente la protección
de la información crítica que manejan y contrarrestar las nuevas formas de realizar amenazas,
para lograr fortalecer la protección de las bases de datos que contienen la información de sus
clientes.
controles estrictos, basándose en los requisitos exigidos por la norma BASC lo que ha
contribuido a que cumplan en un 85,91% con los numerales estipulados en la norma ISO/IEC
Recomendaciones
norma ISO/IEC 27001, relacionadas con el manejo y la seguridad de la información, por este
aplican de forma muy técnica, los cuales tienen sus respectivas contextualizaciones, con el fin de
De igual forma, se recomienda que los instrumentos a aplicar se elaboren de manera muy
detallada, para identificar más fácilmente el enfoque principal que tiene la organización en el
manejo de información.
Por otra parte, para las empresas que deseen iniciar su proceso de implementación o
certificación de la norma ISO/IEC 27001, se recomienda realizar una verificación del estado
inicial en el que se encuentra la organización, con el fin de saber cuáles son los requisitos que
aún no se están cumpliendo y poder implementar los planes de mejora necesarios; así, será más
sencillo cumplir a cabalidad con los requisitos, lineamientos y políticas que establece dicha
gestión de riesgos que incluya e identifique las posibles amenazas y ataques que puedan sufrir,
para fortalecer la protección interna y conocer las dificultades que presenten frente a cualquier
ataque o amenaza efectivo dentro de estas; y poder aplicar las soluciones establecidas para cada
caso.
75
Bibliografía
© Estatal de Seguridad. (18 de Enero de 2018). Estatal de Seguridad ::: Seguridad y Confianza. Obtenido
de Estatal de Seguridad ::: Seguridad y Confianza: http://estataldeseguridad.com.co/web/
Aguirre Cardona, J. D., & Aristizábal Betancourt, C. (2013). 0058A284.pdf. Obtenido de 0058A284.pdf:
http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4117/0058A284.pdf?sequence=
1
Aguirre Tobar, R. A., & Zambrano Ordóñez, A. F. (26 de Octubre de 2015). Estudio para la
implementación del sistema de gestión de seguridad de la información para la secretaria de
educación departamental de Nariño basado en la norma ISO/IEC 27001. Obtenido de Estudio
para la implementación del sistema de gestión de seguridad de la información para la secretaria
de educación departamental de Nariño basado en la norma ISO/IEC 27001:
http://repository.unad.edu.co/bitstream/10596/3655/1/13039116.pdf
Alcaldía de Bogotá. (01 de Octubre de 2017). Consulta de la Norma:. Obtenido de Consulta de la Norma::
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981
Alcaldía de Pereira. (20 de Diciembre de 2016). Información del Municipio. Obtenido de Información del
Municipio: http://www.pereira.gov.co/MiMunicipio/Paginas/Informacion-del-Municipio.aspx
Álvarez, C. (22 de Abril de 2014). El análisis morfosintáctico de una oración. Obtenido de unProfesor:
https://www.unprofesor.com/lengua-espanola/el-analisis-morfosintactico-de-una-oracion-
111.html
Ascanio Arévalo, J. G., Trillos Bayona, R. A., & Bautista Rico, D. W. (1 de Diciembre de 2015).
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: análisis
del riesgo de la información | Arévalo Ascanio | Tecnura. Obtenido de Implantación de un
sistema de gestión de seguridad de información bajo la ISO 27001: análisis del riesgo de la
información | Arévalo Ascanio | Tecnura:
https://revistas.udistrital.edu.co/ojs/index.php/Tecnura/article/view/9551/10782
Bancada Cruceña. (13 de Abril de 2009). Que son los Sistemas Biométricos. Obtenido de eju.tv:
http://eju.tv/2009/04/que-son-los-sistemas-biometricos/
Beek, C., Dinkar, D., Gund, Y., Lancioni, G., Minihane, N., Moreno, F., . . . Weafer, V. (3 de Julio de 2017).
Informe trimestral de McAfee Labs sobre amenazas, junio de 2017. Obtenido de Informe
trimestral de McAfee Labs sobre amenazas, junio de 2017:
https://www.mcafee.com/es/resources/reports/rp-quarterly-threats-jun-2017.pdf
Benavides Sepúlveda, A. M., & Blandón Jaramillo, C. A. (24 de Julio de 2017). INFORME FINAL
ALEJANDRA & CARLOS V5.pdf. Obtenido de INFORME FINAL ALEJANDRA & CARLOS V5.pdf:
http://repositorio.autonoma.edu.co/jspui/bitstream/11182/1117/1/INFORME%20FINAL%20AL
Bolaños, J., Simoneau, V., & Becerra, H. (2009). Giga. No. 3, 2005. La Habana: COPEXTEL.
Concejo Municipal de Pereira. (28 de Mayo de 2017). Historia. Obtenido de Concejo Municipal de
Pereira: http://www.concejopereira.gov.co/wp/ipaginas/ver/63/historia/
Consejo superior de investigaciones científicas. (2013). Arbor: ciencia, pensamiento y cultura. Vol. 189.
Nro. 760. Madrid: Editorial CSIC Consejo Superior de Investigaciones Científicas.
Dinero. (5 de Enero de 2016). El 2015 fue un año de “altas y bajas” para la seguridad informática.
Obtenido de El 2015 fue un año de “altas y bajas” para la seguridad informática:
http://www.dinero.com/pais/articulo/informe-certicamara-sobre-seguridad-informatica-
colombia-para-2016/217635
77
Dinero. (15 de Septiembre de 2016). 'Hacktivistas' tienen a las empresas en alerta. Obtenido de
'Hacktivistas' tienen a las empresas en alerta: http://www.dinero.com/edicion-
impresa/tecnologia/articulo/los-riesgos-empresariales-por-los-ciberataques/231868
Dinero. (19 de Enero de 2017). Las empresas colombianas escatiman en gastos y se rajan en
ciberseguridad. Obtenido de Las empresas colombianas escatiman en gastos y se rajan en
ciberseguridad: http://www.dinero.com/empresas/articulo/encuesta-anual-de-seguridad-de-la-
informacion-de-la-firma-ey/241201
Dix, J. (12 de Abril de 2016). Encuesta Global de Seguridad de la Información 2015. Obtenido de
Encuesta Global de Seguridad de la Información 2015:
http://www.ey.com/Publication/vwLUAssets/ey-encuesta-global-seguridad-informacion-
2015/$FILE/ey-encuesta-global-seguridad-informacion-2015.pdf
eldiario.es. (16 de Mayo de 2013). Grandes robos informáticos de la historia. Obtenido de Grandes robos
informáticos de la historia: http://www.eldiario.es/turing/Grandes-robos-informaticos-
historia_0_132986921.html
Empresa de seguridad privada N. (18 de Enero de 2018). Servicios de Seguridad Humana Escoltas
Guardas en Colombia. Obtenido de Servicios de Seguridad Humana Escoltas Guardas en
Colombia: http://www.seguridadnacional.co/servicio/seguridad-humana/
ESET. (27 de Abril de 2017). ESET Security Report Latinoamérica 2017. Obtenido de eset-security-report-
2017.pdf: https://www.welivesecurity.com/wp-content/uploads/2017/04/eset-security-report-
2017.pdf
Espinosa Betancur, J. G., García Gallo, R. S., & Giraldo Restrepo, A. (9 de Julio de 2016). SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LOS TRES PROCESOS MISIONALES DE LA
CORPORACIÓN AUTÓNOMA REGIONAL DE RISARALDA (CARDER) - SGSI CARDER - Informe
Final.pdf. Obtenido de SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LOS
TRES PROCESOS MISIONALES DE LA CORPORACIÓN AUTÓNOMA REGIONAL DE RISARALDA
(CARDER) - SGSI CARDER - Informe Final.pdf:
http://repositorio.autonoma.edu.co/jspui/bitstream/11182/976/1/SGSI%20CARDER%20-
Garzón Garzón, M. (7 de Julio de 2017). Diseñar los controles de acceso aplicables a la empresa Spytech
S.A.S para su posterior implementación, de acuerdo con el dominio A9 de la norma ISO
27001:2013. Obtenido de 52355641.pdf:
http://repository.unad.edu.co:8080/bitstream/10596/11990/1/52355641.pdf
Gómez Vieites, Á. (2014). Sistemas seguros de acceso y transmisión de datos. Madrid: RA-MA Editorial.
Google Maps. (2018). Pereira - Google Maps. Obtenido de Pereira - Google Maps:
https://www.google.com.co/maps/place/Pereira,+Risaralda/@4.804771,-
75.7487832,13z/data=!4m5!3m4!1s0x8e388748eb56c1fd:0x95b39410f9f1dfbc!8m2!3d4.80871
74!4d-75.690601
78
Hernández Sampieri, R., Collado, C. F., & Baptista Lucio, P. (2014). Metodología de la investigación (6
ed.). México D.F.: Mc Graw Hill Education.
ICONTEC. (2013). Norma Técnica Colombiana NTC-ISO-IEC 27001. Bogotá: Instituto Colombiano de
Normas Técnicas y Certificación (ICONTEC).
Medina, E. (14 de Julio de 2017). LeakerLocker es un ransomware para Android que filtra información
privada del usuario - MuySeguridad. Obtenido de MuySeguridad:
http://muyseguridad.net/2017/07/14/leakerlocker-ransomware-android-filtra-informacion-
privada/
Noticias Universia España. (22 de Noviembre de 2003). NUEVAS AMENAZAS DE INTERNET: DIALERS.
Obtenido de Noticias Universia España: http://noticias.universia.es/ciencia-nn-
tt/noticia/2003/11/22/615922/nuevas-amenazas-internet-dialers.html
Pallas, G., & Corti, M. E. (22 de Febrero de 2016). Metodología de Implantación de un SGSI en grupos
empresariales de relación jerárquica. Obtenido de CIBSI-Dia2-Sesion3(4).pdf:
http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia2-
Panda Security. (27 de Junio de 2017). Petya: Nuevo ataque global de ransomware - Panda Security.
Obtenido de Petya: Nuevo ataque global de ransomware - Panda Security:
http://www.pandasecurity.com/spain/mediacenter/malware/petya-ataque-ransomware/
79
Perafán Ruiz, J. J., & Caicedo Cuchimba, M. (10 de Noviembre de 2014). Análisis de Riesgos de la
Seguridad de la Información para la Institución Universitaria Colegio Mayor Del Cauca. Obtenido
de PROYECTOSEGURIDADINFORMATICA_1.docx.docx - 76327474.pdf:
http://repository.unad.edu.co:8080/bitstream/10596/2655/3/76327474.pdf
Pérez Hernández, C., Moreno Ortiz, A., & Fáber, P. (1999). Lexicografía computacional y lexicografía de
corpus. Revista española de lingüística aplicada, 175-214. Obtenido de
http://tecnolengua.uma.es/doc2/resla98.pdf
Portafolio. (27 de Febrero de 2017). Qué es el ‘phishing’ delito informático. Obtenido de Qué es el
‘phishing’ delito informático: http://www.portafolio.co/mis-finanzas/que-es-el-phishing-delito-
informatico-503702
Real Academia Española. (19 de Junio de 2005). DPD 1.ª edición, 2.ª tirada. Obtenido de Diccionario
panhispánico de dudas: http://lema.rae.es/dpd/srv/search?id=HTm1EjFzPD6zs66ao6
Rico Trejos, W., & Saavedra Rivera, S. (2015). PROPUESTA PARA LA IMPLEMENTACION DE UN PLAN DE
SEGURIDAD EN LA ALCALDIA DE DOSQUEBRADAS - CDMIST126.pdf. Obtenido de PROPUESTA
PARA LA IMPLEMENTACION DE UN PLAN DE SEGURIDAD EN LA ALCALDIA DE DOSQUEBRADAS -
CDMIST126.pdf:
http://repositorio.ucp.edu.co:8080/jspui/bitstream/10785/3658/1/CDMIST126.pdf
San Miguel, A. (3 de Octubre de 2011). 8 Tipos De Hackers Que Debes Conocer. Obtenido de
AxelSanMiguel.com: http://axelsanmiguel.com/8-tipos-de-hackers-que-debes-conocer/
Sánchez Orense, M. (2012). La fortificación y el arte militar en los tratados renacentistas en lengua
castellana: estudio lexicológico y lexicográfico. Salamanca: Ediciones Universidad de Salamanca.
Semana. (28 de Abril de 2014). Seguridad privada al día. Obtenido de Seguridad privada al día:
http://www.semana.com/especiales-comerciales/seguridad/articulo/seguridad-privada-al-
dia/385267-3
Simoneau, V., & Becerra, H. (2009). Giga. No. 1, 2010. La Habana: COPEXTEL.
Solarte Solarte, F. N., Enríquez Rosero, E. R., & Benavides, M. d. (Diciembre de 2015). Metodología de
análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la
norma ISO/IEC 27001. Obtenido de Metodología de análisis y evaluación de riesgos aplicados a
la seguridad informática y de información bajo la norma ISO/IEC 27001:
http://www.rte.espol.edu.ec/index.php/tecnologica/article/viewFile/456/321
Tecnósfera con Información de Agencias. (27 de Junio de 2017 ). Un nuevo ataque cibernético mundial
afecta a varias multinacionales. Obtenido de Un nuevo ataque cibernético mundial afecta a
varias multinacionales: http://www.eltiempo.com/tecnosfera/novedades-tecnologia/nuevo-
ataque-cibernetico-afecta-a-empresas-en-el-mundo-103092
Apéndices
El propósito del presente cuestionario es analizar los factores que impulsaron la implementación
del sistema de seguridad de la información.
3. ¿Cree que los ataques generalmente se han vuelto más frecuentes en los últimos 12 meses?
4.1 Filtración o fuga de datos inadvertida 4.2 Infracción de datos por negligencia
4.3 Infracciones maliciosas de 4.4 Otra (indique
datos cuál)
82
5. ¿Qué grupos de usuarios representan el mayor riesgo de seguridad para las organizaciones?
6.1 Monetizar datos confidenciales 6.2 Fraude 6.3 Sabotaje 6.4 Robo de IP
6.5 6.6 Otra (indique
Espionaje cuál)
8.1 Datos de los clientes 8.2 Datos financieros 8.3 Propiedad intelectual
8.4 Datos de la planeación estratégica de la compañía
8.5 Datos de los empleados 8.6 Datos de ventas y mercadeo 8.7 Datos de la salud
8.8 Otro (indique
cuál)
10. ¿Cuáles cree que son las principales razones por las cuales las amenazas están aumentando?
12: ¿Su organización tiene los controles apropiados para prevenir un ataque?
13: ¿Qué tan difícil es detectar y prevenir los ataques internos en comparación con los
ciberataques externos?
14: ¿Qué hace que la detección y prevención de ataques sea cada vez más difícil en comparación
con hace un año?
16: ¿Qué nivel de visibilidad tiene usted sobre el comportamiento del usuario dentro de las
aplicaciones centrales?
17: ¿Su organización aprovecha los análisis para determinar las amenazas?
17.1 Sí, gestión de actividades e informes 17.2 Sí, acceso a datos y análisis de
resumidos movimiento
17.3 Sí, análisis de comportamiento del usuario 17.4 Sí, análisis predictivo
17.5 No 17.6 No sabe
19: ¿Qué controles de riesgo utilizan para gestionar el riesgo de ocurrencias de ciberataques?
20: ¿Cuáles son las principales barreras para una mejor administración de amenazas?
22.1 Tácticas de disuasión 22.2 Tácticas de detección 22.3 Análisis y análisis forense
22.4 Engaño (por ejemplo, honeypots, etc.) 22.5 Ninguna
22.6 Otro (indique
cuál)
24.4 Dentro de una semana 24.5 Dentro de un mes 24.6 Dentro de tres meses
24.7 Más de tres meses 24.8 Sin capacidad de detectar
25.1 En una semana 25.2 Dentro de un mes 25.3 Dentro de tres meses
25.4 Más de tres meses 25.5 Sin capacidad para recuperar 25.6 No sabe
27: Dentro de su organización, ¿qué tan difícil es determinar el daño real de una amenaza?
El propósito de la presente lista de chequeo es verificar las condiciones iniciales del sistema de
seguridad de la información, frente a lo que estipula la norma ISO/IEC 27001:2013.
de la información información.
A.6.1.2 Separación de Control Se No se No
deberes Los deberes y áreas de responsabilidad en realiza realiza aplica
conflicto se deben separar para reducir las
posibilidades de modificación no
autorizada o no intencional, o el uso
indebido de los activos de la organización.
A.6.1.3 Contacto con las Control Se No se No
autoridades Se deben mantener contactos apropiados realiza realiza aplica
con las autoridades pertinentes.
A.6.1.4 Contacto con Control Se No se No
grupos de interés Se deben mantener contactos apropiados realiza realiza aplica
especial con grupos de interés especial u otros
foros y asociaciones profesionales
especializadas en seguridad.
A.6.1.5 Seguridad de la Control Se No se No
información en la La seguridad de la información se debe realiza realiza aplica
gestión de tratar en la gestión de proyectos,
proyectos independientemente del tipo de proyectos.
A.6.2 Dispositivos móviles y teletrabajo
Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
A.6.2.1 Política para Control Se No se No
dispositivos Se deben adoptar una política y unas realiza realiza aplica
móviles medidas de seguridad de soporte, para
gestionar los riesgos introducidos por el
uso de dispositivos móviles.
A.6.2.2 Teletrabajo Control Se No se No
Se deben implementar una política y unas realiza realiza aplica
medidas de seguridad de soporte, para
proteger la información a la que tiene
acceso, que es procesada o almacenada en
los lugares en los que se realiza
teletrabajo.
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
A.7.1 Antes de asumir el empleo
Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades y son
idóneos en los roles para los que se consideran.
A.7.1.1 Selección Control Se No se No
Las verificaciones de los antecedentes de realiza realiza aplica
todos los candidatos a un empleo se deben
llevar a cabo de acuerdo con las leyes,
reglamentaciones y ética pertinentes, y
deben ser proporcionales a los requisitos
de negocio, a la clasificación de la
información a que se va a tener acceso, y a
los riesgos percibidos.
89
operaciones de la organización.
A.11.2. Ubicación y Control Se No se No
1 protección de los Los equipos deben estar ubicados y realiza realiza aplica
equipos protegidos para reducir los riesgos de
amenazas y peligros del entorno, y las
posibilidades de acceso no autorizado.
A.11.2. Servicios de Control Se No se No
2 suministro Los equipos se deben proteger contra realiza realiza aplica
fallas de energía y otras interrupciones
causadas por fallas en los servicios de
suministro.
A.11.2. Seguridad del Control Se No se No
3 cableado El cableado de energía eléctrica y de realiza realiza aplica
telecomunicaciones que porta datos o
brinda soporte a los servicios de
información se debe proteger contra
interceptación, interferencia o daño.
A.11.2. Mantenimiento Control Se No se No
4 de equipos Los equipos se deben mantener realiza realiza aplica
correctamente para asegurar su
disponibilidad e integridad continuas.
A.11.2. Retiro de activos Control Se No se No
5 Los equipos, información o software no se realiza realiza aplica
deben retirar de su sitio sin autorización
previa.
A.11.2. Seguridad de Control Se No se No
6 equipos y activos Se deben aplicar medidas de seguridad a realiza realiza aplica
fuera de las los activos que se encuentran fuera de las
instalaciones instalaciones de la organización, teniendo
en cuenta los diferentes riesgos de trabajar
fuera de dichas instalaciones.
A.11.2. Disposición Control Se No se No
7 segura o Se deben verificar todos los elementos de realiza realiza aplica
reutilización de equipos que contengan medios de
equipos almacenamiento para asegurar que
cualquier dato confidencial o software
licenciado haya sido retirado o
sobreescrito en forma segura antes de su
disposición o reuso.
A.11.2. Equipos de Control Se No se No
8 usuario Los usuarios deben asegurarse de que a los realiza realiza aplica
desatendido equipos desatendidos se les da protección
apropiada.
A.11.2. Política de Control Se No se No
9 escritorio limpio Se debe adoptar una política de escritorio realiza realiza aplica
y pantalla limpia limpio para los papeles y medios de
95
Privada N.
El propósito del presente cuestionario es analizar los factores que impulsaron la implementación
del sistema de seguridad de la información.
3. ¿Cree que los ataques generalmente se han vuelto más frecuentes en los últimos 12 meses?
4.1 Filtración o fuga de datos inadvertida 4.2 Infracción de datos por negligencia
4.3 Infracciones maliciosas de 4.4 Otra (indique Robo de información
datos cuál)
5. ¿Qué grupos de usuarios representan el mayor riesgo de seguridad para las organizaciones?
6.1 Monetizar datos confidenciales X 6.2 Fraude 6.3 Sabotaje 6.4 Robo de IP
6.5 6.6 Otra (indique
Espionaje cuál)
8.1 Datos de los clientes X 8.2 Datos financieros 8.3 Propiedad intelectual
8.4 Datos de la planeación estratégica de la compañía
8.5 Datos de los empleados 8.6 Datos de ventas y mercadeo 8.7 Datos de la salud
8.8 Otro (indique
cuál)
10. ¿Cuáles cree que son las principales razones por las cuales las amenazas están aumentando?
12: ¿Su organización tiene los controles apropiados para prevenir un ataque?
13: ¿Qué tan difícil es detectar y prevenir los ataques internos en comparación con los
ciberataques externos?
14: ¿Qué hace que la detección y prevención de ataques sea cada vez más difícil en comparación
con hace un año?
16: ¿Qué nivel de visibilidad tiene usted sobre el comportamiento del usuario dentro de las
aplicaciones centrales?
17: ¿Su organización aprovecha los análisis para determinar las amenazas?
17.1 Sí, gestión de actividades e informes 17.2 Sí, acceso a datos y análisis de
resumidos movimiento
17.3 Sí, análisis de comportamiento del usuario 17.4 Sí, análisis predictivo X
17.5 No 17.6 No sabe
19: ¿Qué controles de riesgo utilizan para gestionar el riesgo de ocurrencias de ciberataques?
20: ¿Cuáles son las principales barreras para una mejor administración de amenazas?
22.1 Tácticas de disuasión 22.2 Tácticas de detección X 22.3 Análisis y análisis forense
22.4 Engaño (por ejemplo, honeypots, etc.) 22.5 Ninguna
22.6 Otro (indique
cuál)
25.1 En una semana 25.2 Dentro de un mes 25.3 Dentro de tres meses
25.4 Más de tres meses 25.5 Sin capacidad para recuperar 25.6 No sabe X
27: Dentro de su organización, ¿qué tan difícil es determinar el daño real de una amenaza?
El propósito de la presente lista de chequeo es verificar las condiciones iniciales del sistema de
seguridad de la información, frente a lo que estipula la norma ISO/IEC 27001:2013.
apropiadas.
A.8.1.1 Inventario de Control Se No se No
activos Se deben identificar los activos asociados realiza realiza aplica
con información e instalaciones de X
procesamiento de información, y se debe
elaborar y mantener un inventario de estos
activos.
A.8.1.2 Propiedad de los Control Se No se No
activos Los activos mantenidos en el inventario realiza realiza aplica
deben tener un propietario. X
A.8.1.3 Uso aceptable de Control Se No se No
los activos Se deben identificar, documentar e realiza realiza aplica
implementar reglas para el uso aceptable X
de información y de activos asociados con
información e instalaciones de
procesamiento de información.
A.8.1.4 Devolución de Control Se No se No
los activos Todos los empleados y usuarios de partes realiza realiza aplica
externas deben devolver todos los activos X
de la organización que se encuentren a su
cargo, al terminar su empleo, contrato o
acuerdo.
A.8.2 Clasificación de la información
Objetivo: Asegurar que la información recibe un nivel apropiado de protección, de acuerdo con
su importancia para la organización.
A.8.2.1 Clasificación de Control Se No se No
la información La información se debe clasificar en realiza realiza aplica
función de los requisitos legales, valor, X
criticidad y susceptibilidad a divulgación o
modificación no autorizada.
A.8.2.2 Etiquetado de la Control Se No se No
información Se debe desarrollar e implementar un realiza realiza aplica
conjunto adecuado de procedimientos para X
el etiquetado de la información, de
acuerdo con el esquema de clasificación
de información adoptado por la
organización.
A.8.2.3 Manejo de Control Se No se No
activos Se deben desarrollar e implementar realiza realiza aplica
procedimientos para el manejo de activos, X
de acuerdo con el esquema de
clasificación de información adoptado por
la organización.
A.8.3 Manejo de medios
Objetivo: Evitar la divulgación, la modificación, el retiro o la destrucción no autorizada de
información almacenada en los medios.
114
a códigos fuente Se debe restringir el acceso a los códigos realiza realiza aplica
de programas fuente de los programas. X
A.10 CRIPTOGRAFÍA
A.10.1 Controles criptográficos
Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad,
la autenticidad y/o la integridad de la información.
A.10.1. Política sobre el Control Se No se No
1 uso de controles Se debe desarrollar e implementar una realiza realiza aplica
criptográficos política sobre el uso de controles X
criptográficos para la protección de la
información.
A.10.1. Gestión de llaves Control Se No se No
2 Se debe desarrollar e implementar una realiza realiza aplica
política sobre el uso, protección y tiempo X
de vida de las llaves criptográficas,
durante todo su ciclo de vida.
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO
A.11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no autorizado, el daño y la interferencia a la información y a
las instalaciones de procesamiento de información de la organización.
A.11.1. Perímetro de Control Se No se No
1 seguridad física Se deben definir y usar perímetros de realiza realiza aplica
seguridad, y usarlos para proteger áreas X
que contengan información confidencial o
crítica, e instalaciones de manejo de
información.
A.11.1. Controles de Control Se No se No
2 acceso físicos Las áreas seguras se deben proteger realiza realiza aplica
mediante controles de acceso apropiados X
para asegurar que solo se permite el
acceso a personal autorizado.
A.11.1. Seguridad de Control Se No se No
3 oficinas, recintos Se debe diseñar y aplicar seguridad física realiza realiza aplica
e instalaciones a oficinas, recintos e instalaciones. X
A.11.1. Protección contra Control Se No se No
4 amenazas Se debe diseñar y aplicar protección física realiza realiza aplica
externas y contra desastres naturales, ataques X
ambientales maliciosos o accidentes.
A.11.1. Trabajo en áreas Control Se No se No
5 seguras Se deben diseñar y aplicar procedimientos realiza realiza aplica
para trabajo en áreas seguras. X
A.11.1. Áreas de Control Se No se No
6 despacho y carga Se deben controlar los puntos de acceso realiza realiza aplica
tales como áreas de despacho y de carga y X
otros puntos en donde pueden entrar
personas no autorizadas, y si es posible,
117
electrónica.
A.13.2. Acuerdos de Control Se No se No
4 confidencialidad Se deben identificar, revisar regularmente realiza realiza aplica
o de no y documentar los requisitos para los X
divulgación acuerdos de confidencialidad o no
divulgación que reflejen las necesidades
de la organización para la protección de la
información.
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A.14.1 Requisitos de seguridad de los sistemas de información
Objetivo: Asegurar que la seguridad de la información sea una parte integral de los sistemas de
información durante todo el ciclo de vida. Esto incluye también los requisitos para sistemas de
información que presentan servicios sobre redes públicas.
A.14.1. Análisis y Control Se No se No
1 especificación de Los requisitos relacionados con seguridad realiza realiza aplica
requisitos de de la información se deben incluir en los X
seguridad de la requisitos para nuevos sistemas de
información información o para mejoras a los sistemas
de información existentes.
A.14.1. Seguridad de Control Se No se No
2 servicios de las La información involucrada en los realiza realiza aplica
aplicaciones en servicios de las aplicaciones que pasan X
redes públicas sobre redes públicas se debe proteger de
actividades fraudulentas, disputas
contractuales y divulgación y
modificación no autorizadas.
A.14.1. Protección de Control Se No se No
3 transacciones de La información involucrada en las realiza realiza aplica
los servicios de transacciones de los servicios de las X
las aplicaciones aplicaciones se debe proteger para evitar la
transmisión incompleta, el enrutamiento
errado, la alteración no autorizada de
mensajes, la divulgación no autorizada y
la duplicación o reproducción de mensajes
no autorizada.
A.14.2 Seguridad en los procesos de desarrollo y de soporte
Objetivo: Asegurar que la seguridad de la información esté diseñada e implementada dentro del
ciclo de vida de desarrollo de los sistemas de información.
A.14.2. Política de Control Se No se No
1 desarrollo seguro Se deben establecer y aplicar reglas para el realiza realiza aplica
desarrollo de software y de sistemas, a los X
desarrollos dentro de la organización.
A.14.2. Procedimientos Control Se No se No
2 de control de Los cambios a los sistemas dentro del realiza realiza aplica
cambios en ciclo de vida de desarrollo se deben X
sistemas controlar mediante el uso de
122
reglamentación y contractuales
relacionados con los derechos de
propiedad intelectual y el uso de productos
de software patentados.
A.18.1. Protección de Control Se No se No
3 registros Los registros se deben proteger contra realiza realiza aplica
pérdida, destrucción, falsificación, acceso X
no autorizado y liberación no autorizada,
de acuerdo con los requisitos legislativos,
de reglamentación, contractuales y de
negocio.
A.18.1. Privacidad y Control Se No se No
4 protección de Se deben asegurar la privacidad y la realiza realiza aplica
información de protección de la información de datos X
datos personales personales, como se exige en la legislación
y la reglamentación pertinentes, cuando
sea aplicable.
A.18.1. Reglamentación Control Se No se No
5 de controles Se deben usar controles criptográficos, en realiza realiza aplica
criptográficos cumplimiento de todos los acuerdos, X
legislación y reglamentación pertinentes.
A.18.2 Revisiones de seguridad de la información
Objetivo: Asegurar que la seguridad de la información se implemente y opere de acuerdo con las
políticas y procedimientos organizacionales.
A.18.2. Revisión Control Se No se No
1 independiente de El enfoque de la organización para la realiza realiza aplica
la seguridad de la gestión de la seguridad de la información X
información y su implementación (es decir, los
objetivos de control, los controles, las
políticas, los procesos y los
procedimientos para seguridad de la
información) se deben revisar
independientemente a intervalos
planificados o cuando ocurran cambios
significativos.
A.18.2. Cumplimiento Control Se No se No
2 con las políticas y Los directores deben revisar con realiza realiza aplica
normas de regularidad el cumplimiento del X
seguridad procesamiento y procedimientos de
información dentro de su área de
responsabilidad, con las políticas y normas
de seguridad apropiadas, y cualquier otro
requisito de seguridad.
A.18.2. Revisión del Control Se No se No
3 cumplimiento Los sistemas de información se deben realiza realiza aplica
técnico revisar periódicamente para determinar el X
127